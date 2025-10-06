  • Delo mediji d.o.o.
    Novice

    Agenti UI kot digitalni varnostniki

    Umetna inteligenca se dokazuje tudi na področju obrambe.
    Slika digitalnega varnostnika je narejena s pomočjo umetne inteligence. FOTO: Umetna Inteligenca
    Slika digitalnega varnostnika je narejena s pomočjo umetne inteligence. FOTO: Umetna Inteligenca
    Miran Varga
    6. 10. 2025 | 06:00
    6:09
    Oktober je mesec kibernetske varnosti, a tej bi veljalo pozornost namenjati vse leto, saj se napadi na digitalno krajino podjetij ter naprave in podatke posameznikov krepijo. Napadalci so vse agresivnejši in iznajdljivejši, posebej odkar si pomagajo s tehnologijami umetne inteligence (UI), zato velja podobne ukrepe uvesti tudi na strani obrambe, kjer varnostnih strokovnjakov po svetu krvavo primanjkuje.

    Agente umetne inteligence podjetja že pospešeno testirajo in celo uporabljajo na več delovnih mestih. Agentska umetna inteligenca spreminja tudi način delovanja varnostno-operativnih centrov (VOC), kjer opravlja ponavljajoče se naloge in varnostnim strokovnjakom omogoča, da se posvetijo raziskavam varnostnih incidentov na višji ravni. Pravzaprav so tehnologije UI med varnostnimi strokovnjaki zelo zaželene, saj algoritmi umetne inteligence s spremljanjem delovanja sistema ter prepoznavanjem anomalij hitreje zaznajo grožnje kibernetski varnosti. Če so programirani tako, da se na zaznane grožnje še odzovejo v realnem času – na primer z blokiranjem vdorov in opozarjanjem uporabnikov na potencialna varnostna tveganja –, toliko bolje.

    Agenti UI na področju kibernetske varnosti so zelo hitro prešli iz laboratorijskih predstavitev v dejansko rabo v VOC. V nasprotju s tradicionalnimi skripti za avtomatizacijo opravil so avtonomni programski agenti zasnovani tako, da delujejo na podlagi signalov in inteligentno izvajajo varnostne preglede oziroma analize, preverjajo in povezujejo dnevnike iz varnostnih naprav, z informacijami bogatijo obvestila ter opozorila, lahko celo sprejemajo prve ukrepe za omejevanje napadov na omrežje, sistem ali aplikacijo.

    Za nekatere vodje varnostnih služb je vrednost agentov UI v VOC očitna, saj varnostne analitike osvobaja neskončnega razvrščanja podatkov in povečuje zmogljivost odzivanja na ogromen obseg opozoril. Za druge pa stvari niso tako očitne in izpostavljajo tveganja nejasnega odločanja, zapletenosti integracije in porasta stroškov.

    Kaj obvladajo (in česa ne)

    Po grobi oceni je večina varnostnih agentov UI trenutno na ravni varnostnega analitika začetnika, od katerega pa se ločijo po izjemni hitrosti (in neutrudnosti). Tako večinoma opravljajo prvostopenjske naloge, kot so razvrščanje opozoril, povezovanje signalov/podatkov med varnostnimi orodji in v nekaterih primerih celo sprejemanje ukrepov za omejitev grožnje, kot je izolacija okuženega računalnika ali druge naprave, kar varnostnikom omogoča, da se osredotočijo na druge strateške in pomembnejše naloge. Kot opiše varnostni strokovnjak, so agenti UI »dobri v prvih 15 minutah, ko pridobivajo kontekst, preverjajo informacije o grožnjah, povzemajo dnevnike in predlagajo ukrepe«. Varnostnemu osebju lahko v nadaljevanju pomagajo tudi pri upravljanju izpostavljenosti, tako da razvrščajo ranljivosti po pomembnosti. Lahko celo opravljajo »higienske« naloge s področja informacijske varnosti, kot je odkrivanje zastarelih računov in dostopov.

    Ko smo že pri osebju – to je v varnostno-operativnih centrih nadpovprečno nagnjeno k izgorelosti, zato so agenti UI posebej dobrodošli digitalni sodelavci, saj zmanjšujejo utrujenost zaradi opozoril. Še več, lahko tudi združujejo vzorce opozoril in jih povezujejo z informacijami o grožnjah, medtem ko orodja, ki temeljijo na obdelavi naravnega jezika (NLP), povzemajo opozorila v enostavno razumljivem jeziku. Skupni imenovalec med podjetji, ki uporabljajo agente UI, je to, da lahko človeške analitike osvobodijo ponavljajočega se dela.

    Vendar pa omejitve tehnologije ostajajo. Strokovnjaki opozarjajo, da lahko agenti UI brez prečiščenih podatkov ali jasnih navodil lovijo šum ali si celo izmišljajo korake – stroka temu početju pravi haluciniranje. Velik izziv za podjetja so tudi lažno pozitivni rezultati in pretirane prilagoditve – nejasni signali ali večplastni kontekst še vedno zmedejo celo najbolje usposobljene agente. Posledično jih večina podjetij in predvsem varnostno-operativnih centrov uporablja pretežno za dopolnitev, in ne za zamenjavo človeških analitikov.

    Zahtevna integracija

    Uvajanje agentov UI na področju kibernetske varnosti še pred njihovim zagonom od podjetij zahteva veliko odgovorov o tem, kako bodo integrirani v okolje podjetja – bodo zgolj pomočniki/orodja za ljudi ali bodo dobili (delno) avtonomijo in delovali samostojno po vnaprej programiranih scenarijih. Večina podjetij se za zdaj odloča za implementacijo na način, kjer omenjeni programski agenti zbirajo ter osmislijo podatke iz varnostnih naprav in sistemov, npr. sistema za zbiranje varnostnih informacij in upravljanja dogodkov (SIEM), rešitev za orkestracijo, avtomatizacijo in odzivanje (SOAR) ali drugih varnostnih orodij, ki jih najdemo v tipičnih IKT-okoljih podjetij.

    Praksa (za zdaj) kaže, da so ti sistemi dobri le toliko, kolikor so dobri njihovi vmesniki. Kot rečeno, tudi agenti niso sposobni čudežev, če nimajo opravka z zanesljivimi in zaupanja vrednimi podatki. To od tistih, ki skrbijo za implementacijo agentov UI, zahteva velike napore za usklajevanje in upravljanje teh rešitev.

    Globoka integracija agenta UI je za vsak VOC velik izziv, saj pogosto zahteva več mesecev razvoja, (ponovnega) usposabljanja in sprememb procesov. Medtem pa se varnostna ekipa še vedno bojuje proti dejanskim grožnjam. A tisti, ki jim takšna integracija uspe, poročajo o znatnem dvigu produktivnosti (beri: odkrivanju in blokiranju digitalnih groženj) in zmanjšanju obremenitev varnostnega osebja, kar pod črto pomeni, da se takšna naložba lahko relativno hitro povrne.

